近期資安業者揭露Emotet惡意程式出現新散布手法，因先前微軟預設關閉Office Visual basic for Applications (VBA)巨集，導致不易使用此途徑進行攻擊，因此駭客正嘗試改變攻擊手法。

4月14日至19日期間，資安公司Proofpoint發現Emotet小型攻擊活動，惟手法與平時典型之大規模攻擊不同，代表Emotet可能在測試新手法，以用於未來更大規模攻擊。使用新型手法寄出之網路釣魚郵件，其主旨僅有如「Salary」簡單關鍵字，內文則包括吸引收件者點選之OneDrive雲端檔案下載連結，點選後將下載Salary_new.zip之壓縮檔，該壓縮檔包括數個Excel外掛元件檔案(XLL檔)，亦以「salary」或「bonus」等為檔名，若執行這些檔案，電腦將下載並執行Emotet惡意程式。

與過去攻擊手法相比，此波攻擊活動僅寄出少量釣魚郵件，且不使用附加檔案而用OneDrive連結誘使收件者點選，檔案類型亦由Office檔案改為XLL檔案格式。Proofpoint明確指出本次攻擊非其他駭客團體所為，因TA542駭客組織自2014年後，即控制Emotet使用之網路基礎架構，亦未曾租給其他駭客組織。

Emotet出現新型態攻擊手法，表示微軟關閉巨集確實對駭客攻擊帶來一定影響，迫使駭客轉向不使用巨集之散布手法。

資料來源:行政院國家資通安全會報技術服務中心